Про политику ограниченного использования программ. На коротком поводке: ограничиваем пользователей, выслеживаем нарушителей и наводим порядок в локальной сети

Выходец из Минвостокразвития РФ Александр Осипов в конце октября был назначен врио губернатора Забайкальского края. Свое первое интервью в новой должности Осипов дал РИА Новости. Он рассказал о том, как Забайкалье будет переходить в состав Дальневосточного федерального округа и какие механизмы и льготы для жителей и инвесторов скоро заработают в регионе, а также о благоустройстве Читы после критики Валентины Матвиенко, планах по участию в выборах главы Забайкалья и рецепте любимого новогоднего блюда.

Александр Михайлович, вы руководите регионом совсем недавно, меньше двух месяцев прошло. Успели ли вы за это время сформулировать основные проблемы и приоритетные задачи в регионе? И есть ли у вас план работы по ключевым направлениям?

Я приехал в Забайкалье и сразу выявил две ключевые проблемы на тот момент. Это несбалансированность бюджета - у нас не было денег на выплату зарплат бюджетникам, на оплату коммунальных услуг всего бюджетного сектора, не уплачивались страховые взносы на заработную плату. Еще ряд первоочередных социальных расходов не предусматривались краевым бюджетом. Это необходимо было срочно решать. Благодаря решению руководства страны, до конца 2018 года наш бюджет подкрепили, выделили нам дополнительно 2,5 миллиарда рублей. Мы смогли решить самые горящие вопросы.

Второй важной проблемой были долги по жилищно-коммунальному хозяйству, из-за этого возникали локальные проблемы с отопительным сезоном в муниципалитетах. Если говорить в целом, у краевого бюджета было под 13 миллиардов рублей просроченных долгов. Из-за этого ресурсоснабжающие организации не могли вовремя заключить договоры, приобрести топливо, у нас просто не было денег.

Третья важная проблема, с которой мы столкнулись: до сих пор не урегулированы вопросы об источниках финансирования ликвидации последствий масштабного паводка. В целом в Забайкалье от стихии пострадало 180 километров автодорог, 36 мостов, 50 других объектов. С первых дней мы активно начали заниматься вопросами их восстановления. Правительство РФ рассматривает распоряжение, которым определяются источники финансирования мероприятий по восстановлению этих объектов.

Это я говорил о проблемах, при этом у нас есть два важных приоритета. Ведь важно не только заниматься проблемами, а развивать край. Первый приоритет - это участие края в национальных проектах. Для нас нацпроекты – уникальная возможность решить накопленные за два десятилетия проблемы. Мы сформировали перечень всех объектов, которые нам нужны, мероприятия, в которых мы можем участвовать, и сейчас утверждаем региональную часть паспортов на сами проекты.

Благодаря этой работе только по дорогам Забайкальский край получит более 13 миллиардов рублей. Для региона это одна из самых болезненных проблем. Таких денег край не видел. Сейчас очень важно будет эффективно их вкладывать. Мы будем модернизировать более тысячи километров автодорог, почти 300 из них – по читинской агломерации. Будем строить и фельдшерско-акушерские пункты, и объекты культуры, и детские сады, и школы, и другие объекты социальной сферы.

При этом к возможностям в рамках нацпроектов еще добавляются особенности Дальнего Востока. Мы хотим очень активно использовать все дальневосточные инструменты как социального, так и экономического характера. Это второй наш приоритет по развитию.

- Вы вводили режим ЧС в ряде районов из-за отсутствия топлива, он до сих пор действует?

На муниципальном уровне вводились локальные режимы ЧС. Был период, когда у нас не было денег и не было угля. То там, то здесь запасы топлива были лишь на сутки, хотя по нормативам - 14 дней в случае поставки железнодорожным транспортом и семь в случае автодорожного транспорта. Естественно, в таких условиях приходилось очень быстро реагировать по территории всего края. Мы принимали решения, вводили соответствующие режимы ЧС, искали, где у нас есть хоть какие-то запасы топлива, перевозили.

Забайкалье выделит 10 млн рублей району на топливо для отопительного сезона Правительство Забайкальского края выделит 10 миллионов рублей Тунгокоченскому району, чтобы разблокировать счета и закупить топливо для запуска отопительного сезона, сообщили в среду в пресс-службе губернатора края.

Сейчас, благодаря тому, что нам дали дополнительные средства, мы направили их муниципалитетам на приобретение угля. Этим мы стабилизировали ситуацию: полностью оплачиваем услуги жилищно-коммунального хозяйства по бюджетному сектору, мы закрыли часть задолженности, которая накоплена, и восстановили резервные нормативные запасы топлива.

- То есть зима пройдет без сбоев?

Мы будем к этому стремиться. Хотя понятно, что за эти годы накоплено такое количество проблем в коммунальном хозяйстве, что это не может не проявляться. Там обрывы сетей, тут выходят из строя котлы, там рвутся трубы, нам приходится непрерывно этим заниматься. Мы постоянно перебрасываем электрические резервные станции, нам приходится постоянно посылать аварийные бригады. Но это уже частные случаи, а системно мы вопросы решили.

Возвращаясь к теме включения в состав Дальнего Востока, вы уже можете рассказать, какие механизмы хотите использовать? Какие предложения готовите по применению преференций ДФО в Забайкалье?

Есть два важных направления применения механизмов развития Дальнего Востока. По социальному направлению мы сейчас готовим план социального обустройства Забайкальского края. В феврале планируем утвердить его и направить в правительство для рассмотрения вопроса о его финансировании. У Минвостокразвития есть соответствующая государственная программа, есть источники, и я бы хотел, чтобы наши объекты финансировались из этой программы.

Экономических направлений сейчас у нас четыре. Горнодобывающие предприятия, здесь очень большой потенциал, свыше 14 триллионов рублей. В деревопереработке у нас расчетная лесосека более 8 миллионов кубометров. У нас можно построить большое количество предприятий по переработке. Сейчас, к сожалению, большая часть этих лесов используется неэффективно, рабочих мест, кроме лесозаготовления, почти нет. Третье направление – у нас почти 1,5 миллиона гектаров залежных земель, которые мы планируем распахать. Будем выращивать зерно, рапс, заниматься переработкой, молочным животноводством, мясным скотоводством, птицеводством. Наконец, планируем заниматься тепличным хозяйством, потому что у нас достаточно суровые природно-климатические условия, а людям требуется витаминизированное нормальное питание круглый год.

Эти отрасли мы планируем поддержать в первую очередь. Будем использовать территории опережающего развития, механизм свободного порта Владивосток. В Каларском районе, например, у нас есть Удоканское месторождение меди, Апсатское месторождение угля. Это крупные месторождения, на одном из них 88 миллиардов рублей инвестиций по первоначальным подсчетам инвесторов. Так как они рядом расположены, им необходимы общие инфраструктурные решения. Поэтому мы инициировали создание площадки территории опережающего развития, благодаря которой будем обеспечивать энергетическую, транспортную инфраструктуру с возможностью выхода на железную дорогу. Соответственно, те населенные пункты, которые там находятся, будем обеспечивать социальными объектами.

- Когда может быть создана эта ТОР?

Мы ставим задачу направить материалы на правительственную подкомиссию по реализации инвестпроектов на Дальнем Востоке до конца февраля, в крайнем случае – до середины марта. Думаю, что она в эти же сроки и пройдет.

- Готовы вводить программу "Дальневосточный гектар" в Забайкалье?

Мы хотим ее вводить. Надо создавать соответствующие карты, но для этого необходимо провести большую работу по ревизии состояния земель. Как показала практика подобной работы в других субъектах Дальнего Востока, в земельных вопросах существует большая неразбериха.

В течение полугода предстоит очень активная работа, чтобы все это вычистить, подготовить информационную систему, правильно построить технологическую работу муниципальных и региональных органов, которые должны будут заниматься вопросами выделения и оформления. После этого начнем предоставлять земли сначала забайкальцам, потом дальневосточникам, потом всем. Мы хотим использовать лучший опыт, который был на Дальнем Востоке, и постараемся, конечно, некоторых сложностей и трудностей, которые возникали ранее, избежать.

- Когда это может произойти? Лето 2019 года – реальный срок?

Я думаю, что более реалистично будет осень.

И в Забайкалье, и в Бурятии довольно высокие цены на авиаперелеты. Хотите ли вы использовать механизм субсидирования авиаперевозок?

У нас есть два основных механизма. Один – субсидирование для ряда категорий, которые имеют право на льготы. Это люди с ограниченными возможностями здоровья, многодетные семьи. Второй механизм - это плоские тарифы, когда сами авиакомпании принимают решение о том, что билет туда и обратно стоит ровно столько-то. Мы хотим внедрить оба этих механизма. Чита уже ранее была включена в постановление правительства по субсидированию ряда авиационных маршрутов, а сейчас мы работаем над тем, чтобы количество маршрутов расширить.

По плоскому тарифу смотрим, по каким авиационным маршрутам, с какой авиакомпанией мы сможем договориться. Скорее всего, это будут рейсы из Москвы в Читу, из Читы в Москву. Это непростой вопрос. Самое главное – найти авиакомпанию, которая будет готова к введению плоского тарифа и понимает рынок настолько хорошо, чтобы на год спланировать и обеспечить такой маршрут.

На ваш взгляд, сколько времени понадобится двум регионам, чтобы полностью войти в ДФО и чтобы все механизмы заработали?

Здесь нельзя ставить жесткие временные границы, надо говорить о периодах. Первый - до конца первого квартала 2019 года – это применение самых главных механизмов с получением первых экономических эффектов. Территории опережающего развития, территории, на которых будем распространять режим свободного порта, инвестиционные проекты, которым дадим инфраструктурную субсидию, и так далее. Это мы постараемся сделать уже в первом квартале.

Второй период – более длительный, это непосредственная реализация обозначенных инвестиционных проектов. Надо будет все строить, запускать и так далее. Он будет длиться, наверное, два-три года. И третий период, условно его можно назвать – навсегда. Что я имею в виду? Система развития Дальнего Востока не находится в окончательном состоянии, она непрерывно развивается, механизмы меняются, дополняются, разрабатываются новые. Это траектория, границ которой я в ближайшее время не вижу.

Более того, я уже сегодня вижу, что за этапом первичного внедрения существующих мер поддержки мы перейдем к разработке отдельных механизмов, учитывающих специфику Забайкальского края. Регион со своими проблемами во многом похож на дальневосточные, но у него есть и свои особенности. Скорее всего, по каким-то мерам поддержки предстоит значительная коррекция, а где-то возможно и изобретение новых механизмов развития исключительно для Забайкальского края.

Одна из особенностей Забайкальского края – трансграничное положение, регион непосредственно граничит с Китаем. Как планируете выстраивать работу с китайскими инвесторами?

Вы совершенно правы, у Забайкалья вообще уникальное положение, которое, к сожалению, пока правильно не использовано. Мы такая точка, ворота между Дальним Востоком и всей остальной частью страны, при этом точка очень насыщенная богатствами, полезными ископаемыми. У нас государственная граница с крупнейшей экономикой мира - Китаем, граница с Монголией, что открывает большие возможности внешнеэкономического развития. Естественно, это не могло не проявиться, отдельные китайские инвестиции в крае есть. Но сейчас потенциал этот используется не лучшим образом. Китай - крупная экономика, он инвестирует в высокотехнологичные, высокопроизводительные современные рабочие места, но больших объемов инвестиций на территории Забайкальского края пока не добились. Поэтому мы должны перезагрузить политику привлечения инвесторов. Важно создавать высокопроизводительные рабочие места в обрабатывающем секторе, в переработке, но не в сырьевом секторе.

К тому же, когда китайские туристы приезжают к нам, они активно покупают российские продукты – кондитерские изделия, шоколад, молоко, хлеб, растительное масло. Но сейчас этих производств в Забайкальском крае либо практически нет, либо они в зачаточном состоянии. Наша задача, соответственно, такие производства наращивать, сопровождая это внешнеэкономической повесткой – открывать рынки Китая, договариваться не только между двумя странами, но и провинциями, чтобы как можно больше этих товаров уходило в Китай. Одна из точек роста здесь - это город Забайкальск, ближайшая к Китаю территория.

Дальний Восток уделяет внимание не только китайским, но и южнокорейским, и японским инвесторам. Планируются ли какие-то преференции в целом для иностранных инвесторов? Как будете привлекать их капитал на территорию Забайкальского края?

Механизмы экономического развития на Дальнем Востоке не сепарируют инвесторов в зависимости от того, российские они, китайские или из какой-то другой страны. Любой инвестор, который пришел в страну, зарегистрировал юридическое лицо и действует в соответствии с законодательством, имеет право получить соответствующие меры поддержки, соответствующие преференции и льготы.

Мы не будем ставить для себя приоритетом инвестиции какой-то страны. Говоря ответственно и честно, для нас главным приоритетом является высокопроизводительная, современная, качественная занятость для наших людей. Чтобы как можно больше забайкальцев имели хорошие рабочие места, поэтому любая компания, откуда бы она ни пришла, получит поддержку, если отвечает этим требованиям.

Сейчас мы активно работаем с Южной Кореей. У нас запланирована бизнес-миссия корейских бизнесменов, им очень интересно.

- Когда она может пройти?

Сейчас как раз определяем время, ведем подготовительную работу с корейской стороной.

- Речь про следующий год?

Да, скорее всего, это следующий год, в этом году мы не успеем. Но качество важнее сроков. Дело в том, что приоритеты, которые я вам назвал, формируют спрос на большое количество производителей горнодобывающего оборудования, сельскохозяйственной и лесоперерабатывающей техники. Мы знаем, что по многим видам этой продукции южнокорейские компании конкурентоспособны. Мы хотим дать им возможность инвестировать в эти приоритетные отрасли. Сейчас ведем предварительную работу, определяем перечень компаний, у которых есть соответствующие компетенции и которые могут инвестировать в Забайкалье и обеспечить долгосрочную конкурентоспособность проектов в этих сферах. Чтобы эти проекты были устойчивы с экономической точки зрения, а люди, которые на них работают, понимали, что это надолго, что это хорошее рабочее место, которое обеспечит им будущее.

- А китайские бизнес-миссии планируются в следующем году?

Обязательно планируются, но главным фактором, как я уже говорил, является получение практического результата от таких визитов. Поэтому мы будем готовить их таким образом, чтобы это была конкретная и понятная китайским инвесторам работа.

Я неоднократно наблюдал, как годами ведутся переговоры с китайскими партнерами, а в результате ничего не происходит. Потом мы уточняли, в чем дело. Оказывалось, что переговорочный процесс происходит на концептуальном уровне, а людям в другой стране очень трудно сориентироваться и понять, с чего начинать, как это делать. И все либо растягивается надолго, либо в итоге заканчивается неуспешно. Надо делать наоборот: все должно быть подготовлено почти под ключ, а после этого нужно искать тех инвесторов, которым это будет наиболее интересно, которые смогут быстро прийти к реализации проектов.

Самые очевидные проекты мы сможем хорошо подготовить уже через два-три месяца. Поймем, какие площадки, какие виды бизнеса и инфраструкты там нужны. И с этими первыми проектами можно уже ехать к корейцам и китайцам.

Раз вы говорите про три месяца, значит, первые проекты вы сможете презентовать уже на инвестиционном форуме в Сочи и на ПМЭФ?

Я в большей степени рассчитываю на Восточный экономический форум. А непосредственный поиск инвесторов в большей степени переношу на двусторонние отношения с Китаем, Южной Кореей, Японией, Индией. Посмотрим и по остальным соседям, у которых будут интересы в тех отраслях и в тех видах инвестиционных проектов, которые сможем предлагать.

Власти Китая на прошлой неделе изменили правила посещения торгового комплекса в Маньчжурии и теперь просят россиян предоставлять медицинские справки. Это касается всех туристов или только предпринимателей?

Это касается той категории российских граждан, которая вывозит из России на территорию КНР в приграничный торговый комплекс "Маньчжурия" российские продукты питания и там их реализует. По информации народного правительства города Маньчжурия, это требование планируется к введению в соответствии с нормами законодательства КНР.

Александр Михайлович, вы сейчас формируете команду правительства региона. Как планируете выстраивать кадровую политику? Будете привлекать специалистов из других регионов или искать кадры на месте?

Здесь нет единого подхода, что надо делать либо так, либо по-другому. Нам сейчас необходимо искать реальных людей, которые способны решать задачи и проблемы, которые есть в Забайкалье. Поэтому мы организовали специальный проект по поиску, оценке и отбору кандидатов на должности государственной службы. Рабочее название проекта - "Забайкальский призыв". Мы будем это делать совместно с Российской академией народного хозяйства и государственной службы (РАНХиГС), но, конечно, адаптируем к специфике Забайкальского края. Основные технологические решения уже есть, мы изучали опыт других регионов, брали лучшие практики.

Есть три основных критерия, по которым будем оценивать кандидатов. Первый - это честность и справедливость человека. Второй – главным мотивом его работы должно быть служение людям. И третий – его квалификация, он должен быть профессионалом, который способен без специального обучения, без переключения сразу выдавать результат.

Коммунальные тарифы для населения повышаются с 1 января, в Забайкалье они довольно высоки по сравнению с другими регионами. Как планируете решать эту проблему?

Здесь два уровня решения проблемы. Один из них краткосрочный - это сегодня принимать обоснованные тарифные решения, исключать все факторы ускоренного роста тарифов. Второй - более длительный: это изменять те условия, которые приводят к более высокому уровню тарифов в Забайкалье, чем в других регионах.

По первому мы просто внимательно следим за тем, с чем обращаются к нам тарифно-регулируемые компании, насколько обоснованы их запросы по росту тарифов. И естественно, принимаем все меры для того, чтобы этот рост сдерживать.

Один из примеров - тариф на тепло. Есть ряд обстоятельств. У нас край не газифицирован, более того, мощности, которые у нас построены, например, по когенерации - там, где идет одновременное производство и электроэнергии, и тепла, - эти объекты построены, например, в 1936, в 1961 году. Поэтому понятно, что они по топливной, энергетической эффективности не соответствуют современным требованиям и нормам. Естественно, это приводит к завышенной стоимости. По этой части мы ориентируем компании, не позволяем им поднимать тарифы, с другой стороны - принимаем решения о том, как можно их модернизировать или построить новые, чтобы в долгосрочном периоде эту проблему закрыть.

Компании обращались с просьбой поднять тарифы на тепло с достаточно высокими значениями, но мы приняли решение, что рост будет только в пределах безусловно необходимого – с 1 января на 1,7%.

Второй уровень – важный для всей страны вопрос применения новой системы работы с коммунальными отходами. Здесь все решения были приняты до того, как я был назначен на должность, и с первого дня мы начали знакомиться с ситуацией. К сожалению, оказалось, что край не готов к этой системе. У нас не было принято нормальной схемы обращения с отходами – где они собираются, где они накапливаются, где сортируются, куда вывозятся, где утилизируются. В районе Читы нет ни одного полигона, на который можно было бы с учетом новых требований вывозить мусор. Мы знаем нередко, как масштабные проекты реализуются: уборочной машины ни одной нет, а квитанцию ты получишь. По многим другим видам оборудования – контейнерам, площадкам, мешкам – тоже возникали вопросы. Понятно было, что время подготовки было в значительной степени использовано нерезультативно. Поэтому я принял решение, что Забайкальский край не сможет с 1 января ввести новую систему. Мы сейчас ищем нормативные решения, каким образом это законно сделать, и я попросил наших депутатов и сенаторов обратиться в Федеральное собрание Российской Федерации с тем, чтобы рассмотреть возможность отложить введение этой системы в Забайкальском крае не менее чем на год.

Спикер Совета Федерации Валентина Матвиенко летом раскритиковала Читу за неухоженный внешний вид, плохое состояние драматического театра и "уродище-фонтан" в центре. Как вы планируете приводить город в порядок и когда в следующий раз пригласите в гости Валентину Ивановну?

Валентину Ивановну мы ждем всегда. Во-первых, потому что Валентина Ивановна очень опытный государственный деятель, и ее критика носит созидательный характер. Она раскритиковала и тут же помогла. Благодаря этому мы уже в этом году заложили средства на ремонт нашего драмтеатра в федеральный бюджет, на его реконструкцию выделили более 1 миллиарда рублей, со следующего года начнем ремонт.

Второй проект, который также начал реализовываться благодаря Валентине Ивановне, - выделение федеральной субсидии на подготовку шестого рудника в городе Краснокаменске. Он дает второе дыхание городу, у людей будут рабочие места.

Отвечу так: сегодня в Забайкальском крае есть разъединенность, накоплено уже существенное количество, скажем, негативной энергии, разъединяющей людей. Я думаю, что сегодня не самое главное, в какую политическую окраску край окрасится. Более того, я даже вижу, что пыл политических баталий не дает принимать рациональные, прагматичные решения. Поэтому, я думаю, что самое главное сегодня – это реальная практическая работа и объединение всех на благо Забайкалья.

Наконец, праздничный вопрос - определились ли вы, как будете встречать Новый год? И есть ли у вас фирменный рецепт новогоднего блюда?

Встречать Новый год я буду традиционно. Мы с супругой еще ничего не планировали. Скорее всего, будем либо в семейном кругу встречать, либо к кому-то пойдем в гости. А по кулинарным изыскам – мне кажется, одно из самых удивительных блюд, которые изобрела русская кухня, это сельдь под шубой. Я ее очень люблю, она обязательно должна быть там, где я нахожусь за столом.

Я упомянул, что параллельно с этим циклом статей на моем блоге будут еще появляться статьи, посвященные так называемому «старшему брату» упомянутой выше технологии. Другими словами, иногда, по некоторым причинам вы в своей организации не сможете использовать AppLocker, например, одна из причин та, что помимо компьютеров, работающих под операционной системой Windows 7, большая часть ваших пользователей может работать, скажем, под операционными системами Windows XP. А как вы знаете, у технологии AppLocker есть такое «замечательное ограничение», связанное с платформой, на которую будут распространяться настроенные вами политики.

Соответственно, как вы уже догадались, данная статья является введением в работу с технологией, которая называется политиками ограниченного доступа к программам, появившейся еще во времена Windows XP, которая позволяет управлять возможностями приложений на компьютерах ваших пользователей. Так как обо всех преимуществах и недостатках данной технологии по сравнению с AppLocker я уже писал во вводной статье цикла по AppLocker, думаю, нет смысла дублировать одну и ту же информацию. Поэтому, в данной статье будет рассказываться о том, что такое политики ограниченного доступа к программам, также как и для чего можно создать такие политики.

Что такое политики ограниченного использования программ?

Перед тем как начать создавать очередные объекты групповой политики с соответствующими параметрами безопасности, прежде всего, следует определиться, что же представляют собой политики ограниченного использования программ (Software Restriction Policies, SRP). Данная технология, которая входит в состав групповой политики, предоставляет функциональные возможности, предназначенные для обеспечения контроля над приложениями, запускаемыми пользователями на своих рабочих местах.

Как вы помните, технология AppLocker предоставляет, по сути, практически такие же возможности, однако, именно SRP в этом направлении можно назвать «старожилом», так как данная технология старше AppLocker более чем на 5 лет, а если говорить точнее, то технология SRP появилась в октябре 2001 года, вместе с выходом операционной системы Windows XP. Точно так же, как и в случае с AppLocker, используя функциональные возможности данной технологии, запрещённое при помощи SRP программное обеспечение не будет удаляться с пользовательского компьютера, а пользователь, в свою очередь, не сможет запустить такое приложение или же выполнить какие-то специфические действия.

Во вводной статье по AppLocker изо всех сравнений функциональных возможностей этих двух технологий (а именно, политик ограниченного использования программ и AppLocker), я не упомянул, что в том случае, если в одном объекте групповой политики будут настроены и параметры политик ограниченного доступа к программам и правила AppLocker, то на компьютерах под управлением ОС Windows 7 будут применяться только политики AppLocker. Также следует обратить внимание на тот момент, что, в отличие от политик, настроенных при помощи технологии AppLocker, все параметры SRP будут применяться не к определенному пользователю или группе пользователей, а ко всем пользователям, которые будут выполнять вход на компьютер, на который будут распространяться политики SRP.

Несмотря на все преимущества технологии, которая будет рассмотрена в нескольких статьях данного цикла, все запреты, распространяемые при помощи функциональных возможностей политик ограниченного использования программ можно обойти. Политики SRP не будут распространяться на пользователя в том случае, если пользователь выполнит вход на свой компьютер в безопасном режиме. Вот такой, получается, в какой-то степени, недостаток. Однако, если пользователям не говорить об этом моменте, вряд ли они будут в своих целях использовать данный чит.

Создание политики ограниченного использования программ

Если в случае с технологией AppLocker, вы можете не настраивать дефолтные политики для создания своих правил, то с политиками ограниченного использования программ без правил, создаваемых по умолчанию, вы работать не сможете. Соответственно, чтобы вам была предоставлена возможность создания и изменения таких политик, для начала вам следует создать предустановленные политики. Итак, чтобы создать свою политику ограниченного использования программ, нужно выполнить следующие действия:

1. При помощи оснастки «Управление групповой политики» создайте новый объект групповой политики, скажем, «Ограничения для всех пользователей компании» , после чего откройте окно редактора управления групповыми политиками;

2. Политики SRP могут распространяться как на компьютеры организации, так и на самих пользователей, то есть, необходимый узел оснастки редактора управления групповыми политиками можно найти как в конфигурации компьютера, так и в конфигурации пользователя. Предположим, что в данном случае следует, чтобы политики SRP распространялись на всех пользователей в организации. Поэтому в отобразившейся оснастке разверните узел Конфигурация компьютера\Политики\Конфигурация Windows \Параметры безопасности и перейдите к узлу «Политики ограниченного использования программ» . Здесь, как я уже упомянул выше, для того чтобы начать работать с политиками ограниченного использования программ, вам следует создать политики по умолчанию. Для этого нужно нажать на данном узле правой кнопкой мыши и из контекстного меню выбрать команду «Создать политику ограниченного использования программ» , как показано на следующей иллюстрации:

Рис. 1. Создание первых политик ограниченного использования программ

3. После выполнения данной команды, будут созданы два дополнительных узла, а также три параметра политики, предназначенных для настройки функциональных возможностей политики ограниченного использования программ. Узел «Уровни безопасности» позволяет вам указать, какие разрешения будут установлены в политиках SRP. Таких уровней немного, а именно три:

· Запрещено . При выборе данного уровня, несмотря на все разрешения, которые не указанны в политиках в явном виде, программное обеспечение не будут запускаться у пользователей, на которых распространяются политики SRP;

· Обычный пользователь . В данном случае, пользователи смогут запускать приложения под пользовательским маркером доступа;

· Неограниченный . Выбрав этот уровень безопасности, программное обеспечение будет запускаться, в зависимости от прав пользователя. Кстати, при первом создании политик SRP, по умолчанию для таких правил автоматически устанавливается уровень «Неограниченный» . Естественно, чтобы компоненты операционной системы нормально функционировали, для некоторых создаваемых политик SRP, следует указывать именно этот уровень.

Соответственно, чтобы изменить уровень безопасности по умолчанию, следует выбрать необходимый уровень безопасности и из контекстного меню выбрать команду «По умолчанию» . Пример изменения уровня безопасности по умолчанию отображен на следующей иллюстрации:

Рис. 2. Изменение уровня безопасности по умолчанию

4. При помощи узла «Дополнительные параметры» вы можете создавать правила, предназначенные для создания и управления политиками ограниченного использования программ. По умолчанию, при создании первой политики, которая была создана на втором шаге данного руководства, создается два первых правила. Это правило для пути %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%, которое позволяет запускать любые приложения из папки Windows, а также правило для пути %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%, позволяющее запускать программы из папки Program Files. Правила для пути позволяют идентифицировать программы по расположению соответствующим файлам. Обычно правила для пути создаются с использованием точного пути к файлу, однако при создании таких правил вы можете использовать еще и такие переменные как %userprofile%, %windir%, %appdata%, %programfiles% и %temp%. Также, как и в случае с правилами по умолчанию, вы можете использовать разделы системного реестра.

Желательно не изменять правила, созданные по умолчанию, а в том случае, если вам необходимо ограничить доступ пользователей к каким-то определенным программам, следует создавать отдельные запрещающие правила.

Однако, несмотря на то, что данные правила будут отлично отрабатываться на клиентах, под операционными системами Windows XP, если у ваших пользователей будет установлена 64-разрядная операционная система Windows 7, у них могут возникнуть некоторые проблемы. И вот тут у ваших пользователей при попытке запуска любых приложений из папки « Program Files (x 86)» может возникнуть ошибка, свидетельствующая о том, что пользователю запрещается выполнять любые приложения из соответствующего расположения.

В связи с этим следует создать новое правило для пути, позволяющее запускать приложения из соответствующих папок. Для этого в области сведений данного узла вызовите контекстное меню и выберите команду «Создать правило для пути» . В отобразившемся диалоговом окне следует выбрать неограниченный уровень безопасности (так как нужно, чтобы пользователи могли запускать программы из выбранного расположения), а также указать раздел реестра %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%.

При желании, вы можете в текстовом поле «Описание» добавить какую-то дополнительную информацию. Диалоговое окно нового правила пути показано на следующей иллюстрации:

Рис. 3. Создание правила для разрешения запуска программ, расположенных в папке Program Files (x 86)

5. Теперь, в качестве примера, будет создано еще одно правило пути, запрещающее запускать программу «Блокнот» из папки « System 32» . Для этого откройте диалоговое окно создания правила для пути, в текстовом поле «Путь» укажите путь к данной программе, в данном случае это «C:\Windows\System32\notepad.exe» , из раскрывающегося списка «Уровень безопасности» выберите «Запрещено» и добавьте какое-то описание, например, «Запрет на использование блокнота» , что можно увидеть на иллюстрации ниже:

Рис. 4. Создание запрещающего правила для блокнота

6. Теперь следует привязать созданный объект групповой политики к подразделению, содержащему учетные записи компьютеров компании. Закройте оснастку «Редактор управления групповой политики» и в дереве оснастки «Управление групповой политикой» выберите подразделение, содержащее учетные записи компьютеров (в моем случае, это подразделение «Клиенты» ), нажмите на нем правой кнопкой мыши, а затем из контекстного меню выберите команду «Связать существующий объект групповой политики» . В отобразившемся диалоговом окне «Выбор объекта групповой политики» выберите данный объект групповой политики и нажмите на кнопку «ОК» .

Выполните вход на компьютер, расположенный в подразделении «Клиенты» и попробуйте открыть программу «Блокнот» . Как видно на следующей иллюстрации, при попытке открытия блокнота появится следующее диалоговое окно:

Рис. 5. Попытка открытия «Блокнот»

Заключение

Из этой статьи вы узнали о политиках ограниченного использования программ. Вы узнали о том, что представляют собой эти политики, о ситуации, когда такие политики не будут распространяться на пользователей, а также об уровнях безопасности, о политиках SRP по умолчанию и о создании новых политик ограниченного использования программ. В следующей статье данного цикла вы узнаете обо всех методах создания политик SRP.

В любой организации есть юзвери, которые пытаются использовать ресурсы Сети в
своих целях. В результате, несмотря на установленные антивирусы и брандмауэры,
клиентские системы начинают кишить вирусами, троянами, малварью и левыми
программами, периодически вызывающими сбои в работе Windows. Да и начальство
требует убрать лишнее с компов (игры, чаты, обучалки), контролировать
использование трафика и установить запрет на подключение флешек. Естественно,
хлопоты по разруливанию ситуаций ложатся на плечи админа.

Групповые политики

Групповые политики (GPO) — удобный и функциональный инструмент, позволяющий
управлять настройками безопасности Windows. С его помощью можно настроить
достаточно много параметров ОС. К сожалению, большая их часть скудно описана в
литературе, и начинающие админы часто даже не знают о том, какой потенциал у них
в руках. К тому же, групповые политики постоянно развиваются, и в новых версиях
ОС (а также сервис-паках) GPO получают новые функции. Узнать различия и
доступные параметры довольно просто, - скачай с сайта Microsoft cписок "Group
Policy Settings Reference" для используемой операционки.

В Win2k8 управление GPO осуществляется при помощи консоли Group Policy
Management Console (GPMC.msc) 2.0. Установки безопасности производятся в ветке
"Конфигурация компьютера — Конфигурация Windows — Параметры безопасности" (Computer
Configuration — Windows Settings — Security Settings). Здесь довольно много
настроек, при помощи которых можно определить политики паролей, задать
блокировки учетной записи, назначить права доступа, установить порядок аудита,
политики реестра, файловой системы, NAP, IP-безопасности и многое другое.
Разберем самые интересные из них.

Выбираем в консоли группу политик "Назначение прав пользователя". Политика
"Архивация файлов и каталогов" позволяет игнорировать разрешения файлов при
операциях резервного копирования. Следует четко определиться, кто будет входить
в такую группу, так как права на создание резервных копий, предоставленные кому
попало, могут привести к утечке корпоративных данных. Политика "Загрузка и
выгрузка драйверов устройств" (Load and Unload Device) позволяет устанавливать
драйвера после настройки системы; здесь лучше оставить в списке только
администраторов, чтобы пользователи не могли самостоятельно подключать сторонние
девайсы. Разрешив "Отладку программ", мы предоставим пользователю возможность
подключать отладчик к любому процессу или ядру, а ты сам понимаешь, какой это
риск. По умолчанию сюда входит только группа администраторов, но в организациях,
занимающихся разработкой ПО, хочешь не хочешь, а такое право давать придется.
Соответственно, нужно отслеживать легитимность его применения.

Особое внимание удели политикам в группе "Параметры безопасности", где много
полезных пунктов. Например, мы можем: отключить возможность анонимного доступа к
сетевым ресурсам, переименовать учетную запись гостя (если такая используется и
необходима). В политиках, начинающихся с "Устройства", одним щелчком мышки можно
заблокировать возможность подключения и форматирования сменных устройств,
дискет, компакт дисков и внешних хардов. Впервые политики блокировки сменных
устройств появились в Vista и Win2k8. Ранее для этих целей приходилось
использовать программы сторонних разработчиков вроде DeviceLock. В этой же
вкладке разрешаем или запрещаем подключение принтера выбранной группе
пользователей.

Политики ограниченного использования программ

Одной из самых важных в контексте статьи будет группа объектов GPO "Политики
ограниченного использования программ" (Software Restriction Policies, SRP).
Здесь настраиваются ограничения запуска приложений на компьютерах, начиная с
WinXP и выше. Принцип настроек совпадает с настройками правил файрвола:
администратор указывает список приложений, которые разрешено запускать на
системах организации, а для остальных ставит запрет. Или поступает наоборот:
разрешает все, а затем по мере необходимости блокирует, что не нужно. Здесь
каждый админ выбирает, как ему удобнее. Рекомендуется создать отдельный объект
GPO для SRP, чтобы всегда была возможность откатить изменения при необходимости
или возникновении проблем с запуском нужных приложений.

По умолчанию SRP отключены. Чтобы их активировать, следует перейти во вкладку
"Политики ограниченного использования программ" (в "Конфигурация компьютера" и
"Конфигурация пользователя" есть свои пункты) и выбрать в контекстном меню
"Создать политику ограниченного использования программ" (New Software
Restriction Policies). По умолчанию установлен уровень безопасности
"Неограниченный" (Unrestricted), то есть доступ программ к ресурсам определяется
NTFS правами пользователя. Разрешен запуск любых приложений, кроме указанных как
запрещенные. Чтобы изменить уровень, нужно перейти в подпапку "Уровни
безопасности", где находятся пункты активации еще двух политик – "Запрещено" (Disallowed),
при которой возникает отказ в запуске любых приложений, кроме явно разрешенных
админом. Политика "Обычный пользователь" (Basic User), появившаяся в GPO,
начиная с Vista, позволяет задать программы, которые будут обращаться к ресурсам
с правами обычного пользователя, вне зависимости от того, кто их запустил.

В организации с повышенными требованиями информационной безопасности лучше
самому определить список разрешенных программ, поэтому дважды щелкаем по
"Запрещено" и в появившемся окне нажимаем кнопку "Установить по умолчанию" (Set
as Default). Информация в появившемся окне сообщит, что выбранный уровень -
более строгий, и некоторые программы могут не работать после его активации.
Подтверждаем изменения. Теперь переходим в подпапку "Дополнительные правила".
После активации SRP создаются две политики, перекрывающие правила по умолчанию и
описывающие исключения для каталогов %SystemRoot% и %ProgramFilesDir%. Причем по
умолчанию политики для них установлены в "Неограниченный". То есть после
активации политики "Запрещено" системные программы будут запускаться в любом
случае. В контекстном меню для тонкой настройки политик предлагается 4 пункта. С
их помощью можно указать: правило для пути (путь к каталогу, файлу или ветке
реестра), зоны сети (интернет, доверенная сеть и так далее), хеш (указываем
отдельный файл, по которому генерируется хеш, позволяющий определить его
однозначно, вне зависимости от пути) и сертификат издателя (например, Microsoft,
Adobe и т.п.). При этом отдельная политика имеет свой уровень безопасности, и
легко можно запретить выполнение всех файлов из каталога, разрешив запуск только
отдельных. Правила для хеша имеют приоритет перед остальными и наиболее
универсальны. Правда, с учетом того, что хеш некоторых системных приложений
(того же Блокнота) будет отличаться в разных версиях ОС, к процессу
генерирования хеша лучше подойти внимательно.

Если щелкнуть по ярлыку "Политики ограниченного использования программ",
получим доступ еще к трем настройкам. Выбор политики "Применение" (Enforcement)
откроет диалоговое окно, в котором указываем, применять ли SRP для всех файлов
или исключить DLL (по умолчанию). Учитывая количество DLL’ок в системе,
активация контроля всех файлов потребует дополнительных ресурсов, поэтому
кастомный вариант выбираем, только когда это действительно необходимо. По
умолчанию политики актуальны для всех пользователей без исключения, но в
настройках предлагается снять контроль за деятельностью локальных админов. В
третьем поле активируется поддержка правил сертификатов. Такие политики также
замедляют работу системы и по умолчанию отключены.

С помощью политики "Назначенные типы файлов" определяются типы файлов,
которые считаются исполняемыми. В списке уже есть все популярные расширения, но
если используется что-то свое, добавляем его/их в перечень. И, наконец, в
"Доверенные издатели" задаем тех, кто может (пользователь и/или админ) добавить
подписанное доверенным сертификатом приложение, а также определять подлинность
сертификата. Для максимальной безопасности разреши добавлять приложения только
админам доменного уровня.

AppLocker

За несколько лет существования технология SRP так и не смогла завоевать
популярность, ведь, как ты мог убедиться из предыдущего раздела, точно настроить
политики — не такая уж и простая задача. Максимум, на что обычно хватало админа,
- запрет отдельных прог и игрушек. В Win7/Win2k8R2 было представлено логическое
продолжение SRP — AppLocker. Впрочем, сам SRP никуда не делся, оставлен в целях
совместимости. В отличие от SRP, Applocker работает не в пользовательском
окружении, а в системном: устанавливаемые политики более эффективны.

Настройки AppLocker находятся во вкладке Security Settings (secpol.msc) —
Application Сontrol Policies. Если раскрыть дерево, то увидим три подпункта, в
которых настраиваются политики в соответствии с типами файлов:

Executable Rules — правила для файлов с расширением exe, com и src;
Windows Installer Rules — правила для msi и msp файлов;
Script Rules — правила для bat, cmd, js, ps1 и vbs скриптов.

По умолчанию используется политика Default, работа которой основывается на
установке GPO. Но для каждого типа правил можно выбрать еще одну из двух
политик:

Enforced - политики активны, и все, что не описано в правилах,
блокируется;
Audit Only - режим аудита, все события, для которых созданы правила,
вместо блокировки заносятся в журнал. Полезен при знакомстве и
первоначальной отладке работы AppLocker.

Для активации нужного варианта переходим во вкладку "Enforcement" окна
свойств AppLocker. Перейдя в "Advanced" и установив флажок "Enable DLL rule
collection", можно активировать проверку DLL. Как и в случае с SRP, проверка
потребует дополнительных системных ресурсов. По умолчанию правил нет, поэтому
ограничения на запуск программ не накладываются (кроме прав NTFS, естественно),
и в отличие от SRP, рулесеты нужно создать самому. Этот процесс в AppLocker
выглядит несколько проще. Контекстное меню предлагает для этого три варианта:

Create New Rule — при помощи визарда создаются правила для издателя (Publisher),
пути (Path, каталог или файл) и хеша (File Hash);
Automatically generate Rules — здесь просто указываем на каталог, в
котором находятся установленные проги, и мастер автоматически создает
правила (Path/Hash) для всех исполняемых файлов внутри;
Create Default Rules — создается набор правил по умолчанию.

При выборе последнего пункта будут созданы разрешающие правила для запуска
приложений из каталогов Windows (%WINDIR%) и Program Files (%PROGRAMFILES%);
пользователи, входящие в группу локальных администраторов (BUILTIN\Administrator),
ограничений по запуску не имеют. После того как первые правила в категории
сформированы и выбран вариант Enforced, запуск приложений возможен только в том
случае, если он разрешен политикой. В последующем корректируем имеющиеся правила
и создаем новые. Чтобы отредактировать правило, вызываем его свойства и меняем:
учетные записи и группы, которые попадают под политику, путь к каталогу или
файлу, действие (Action) блокировать или разрешить. Использование учетных
записей и групп в правилах AppLocker группы достаточно удобно, так как можно
создать группу пользователей, которым разрешен запуск офисных приложений, группу
"интернетчиков" и так далее, и затем включать в них отдельных пользователей.

Настройки во вкладке Exceptions позволяют задать исключения для отдельных
объектов. Нажав кнопку Add, указываем отдельный файл, хеш или издателя, которые
не будут подпадать под действие редактируемой политики. Так можно достаточно
тонко указать разрешения для большого количества файлов.

Да, и как ты, наверное, заметил, возможность настройки правила для зоны сети
в AppLocker отсутствует.

После доводки Default Rules приступаем к созданию индивидуальных политик. Для
чего выбором Create New Rule запускаем мастер и в пошаговом режиме производим
нужные настройки. Первое окно пропускаем, во втором задаем действие Allow/Deny и
указываем пользователя или группу, для которых будет действовать политика. Далее
выбираем тип политики Publisher/Path/File Hash и, в зависимости от
произведенного выбора, отмечаем объект. При определении пути AppLocker
использует переменные. То есть, если указать в Проводнике C:\soft, путь будет
преобразован к виду %OSDrive%\soft\*. Кроме того, возможны такие переменные: %WINDIR%,
%SYSTEM32%, %PROGRAMFILES%, %REMOVABLE% (CD/DVD) и %HOT% (USB-устройства).
Причем особо отмечается, что это внутренние переменные AppLocker, а не
системные, хотя некоторые названия совпадают.

Политики созданы, но чтобы они применялись, нужно запустить службу
Application Identity (AppIDSvc). Делается это через консоль Services (services.msc)
или в редакторе групповых политик (Security Settings -> System Services). После
изменений обновляем политики:

> gpupdate /force

Еще один метод контроля за установленным ПО и подключенными девайсами —
использование специальных программ инвентаризации (например, SCCM, о котором
говорилось в статьях " " и " ", опубликованных соответственно в августовском и
сентябрьском номерах ][ за 2009 год). Также не забываем о службе "Управление
приложениями" (AppMgmt), отключив которую, мы блокируем возможность установки
ПО.

Борьба с NAT’ом

С "халявным" интернетом на работе у многих пользователей появляется соблазн
использовать его в своих целях. Конечно, времена, когда к системному блоку
подключался модем и через него выходили в интернет, практически канули в лету
(для некоторых провинциальных городов это все еще актуально), но менеджеры порой
берут работу на дом, а доступ к нужной инфе пытаются получить посредством
диалапа. Если же офис находится в жилом доме, то сотрудники-энтузиасты могут
развернуть WiFi и раздавать соседям трафик. В любом случае халява привлекает
любителей, и остается удивляться, как народ на выдумки горазд. Кроме
сворованного трафика, пользователь ставит под удар безопасность всей сети, ведь
через такой черный ход запросто могут проникнуть вирусы, троянцы и прочая зараза
(+ может быть похищена конфиденциальная информация).

Методов обнаружения работы клиентов из-за NAT предостаточно — контроль TTL,
анализ идентификатора IP-пакета и диапазона TCP/UDP портов и так далее
(подробнее о методах обнаружения NAT читай в статье Криса " " в ][ #111). Мы же разберем практическую реализацию.
Инструментом номер один здесь является
Wireshark —
мультиплатформенный (Windows, Linux, xBSD, Solaris, Mac OS X и т.д.) снифер и
анализатор в одном флаконе. Возможность использования фильтров и сортировки
делает эту программу весьма удобной для решения многих задач: контроль
определенного типа трафика (аська, сетевые игры, проги для удаленного доступа и
так далее), поиск проблем в сети и анализ безопасности.

Для определения работы из-за NAT нас интересует возможность контроля TTL
(время жизни) IP-пакета. Нужно учитывать, что каждая ОС и версии используют свое
значение TTL, например, все версии Windows — 128, Linux — 64 (максимально 255),
а при прохождении пакета на каждом роутере отнимается единица. То есть, если
получаем пакет с TTL 63 или 127 (или меньше), это может свидетельствовать о
наличии NAT (виртуальные машины также работают из-за NAT). Открываем список
фильтров и в "IP only" устанавливаем значение поля ip.ttl в отлов всех пакетов,
TTL которых меньше 64 или 128. Программа имеет достаточный набор для анализа,
поэтому можно захватить трафик с минимальными ограничениями, а затем
просмотреть, что попалось в сети, и в последующем уточнять настройки фильтров.

Кроме графического интерфейса, возможен запуск Wireshark в командой строке.
Смотрим список сетевых интерфейсов по команде "tshark -D", а затем вылавливаем
значение поля TTL в проходящих пакетах.

> tshark -i 1 -e ip.ttl -Tfields

Поддерживаются tcpdump-подобные правила, поэтому можно просто считать
значения нужного поля IP (ip < 64, поле TTL находится в 8-м байте
IP-заголовка).

Хорошей альтернативой Wireshark является BWMeter (desksoft.com/BWMeter.htm),
совмещающий в себе функции файрвола и монитора трафика, с возможностью
построения различного рода графиков. Система фильтров позволяет задать любое
правило и затем отслеживать все пакеты, которые под него попадают.

К этому списку можно добавить практически все файрволы, что встретишь в
корпоративной сети: Kerio WinRoute (подробнее о нем читай в статье " ", опубликованной в сентябрьском номере ][ за 2007 год),
UserGate Proxy & Firewall (" ", июльский ][ за 2009 год), ISA Server/Forefront TMG (" ", ноябрьский ][ за 2009 год) и другие, которые также
имеют все необходимое для анализа и блокировки трафика.

Кроме того, не забываем производить периодическое сканирование сети при
помощи Nmap и сравнивать
результаты с отчетами ранее произведенных сканов. В случае обнаружения изменений
в списке открытых портов производим расследование. Это позволит обнаружить
лазейки, оставленные троянцами, прокси-серверы, некоторые запущенные игры и так
далее.

Обнаруживаем сниферы

В любой LAN найдется парочка умников, которые захотят знать больше, чем им
положено. Любопытный кекс запускает снифер в надежде поймать пароль, если не
админа, то любого другого пользователя, или почитать инфу, ему не
предназначенную. Для перехвата всех пакетов сетевая карта переводится в
неразборчивый режим (promiscuous mode), обнаружить который можно как локально,
так и удаленно. В первом случае регистрируемся в системе и просматриваем
настройки интерфейсов, во втором — актуальны два способа:

мониторинг ресурсов на всех хостах сети — при переводе NIC в promiscuous
mode возрастает нагрузка, так как ядру приходится обрабатывать большее
количество информации, быстро заполняется место на харде;
ошибки в реализации — сетевой интерфейс должен "забирать" только свои
пакеты; так и настроены ОС, но поскольку теперь ядро получает инфу обо всех
пакетах, можно попробовать послать ARP-пакет с правильным IP или именем, но
неправильным МАС-адресом.

В последнем случае система может ответить на неправильный пакет. Добавляем
заведомо неверные данные в ARP таблицу и пингуем "подозрительный" хост:

> arp -s hackerhost 00:11:22:33:44:55
> ping hackerhost

Если ответ получен, значит, с большой долей вероятности можно сказать, что
узел находится в режиме прослушивания. Не забываем удалить неправильную запись
после проверки:

> arp -d hackerhost

Удобнее для выявления нарушителей использовать специальные утилиты. Например,
proDETECT ,
которая, правда, уже несколько лет не обновлялась, поэтому грешит багами.
Настройки позволяют задать список узлов и указать периодичность их проверки.
Отчет отправляется на e-mail.

Всем доброго времени суток и всего такого прочего-разного.

Частенько меня спрашивают о том как запретить пользователю использовать те или иные программы, их установку, а так же открывать различные типы файлов (которые ему не нужны и могут принести вред) и всё такое прочее. В общем-то для начинающих эникейщиков, системных администраторов и прочего рода -шников, - это достаточно популярный вопрос.

И вопрос этот небезоснователен, ибо ограничение неразумного пользователя в правах частенько сильно упрощает работу, повышает безопасность и всё такое прочее.

К тому же, полезно это бывает не только для тех, кто работает в IT -сфере, но и просто для пользователей, которые хотят защитить себя от различных вирусов, надстроек и тп. К слову, эту методику можно еще и использовать как родительский контроль.

В общем, давайте приступим.

Базовое администрирование политики ограниченного использования программ

Инструмент этот простой и в общем-то, должен быть известен примерно каждому, благо он существует достаточно давно, а да и применяется всякими айтишниками (и не только) многими повсеместно.

В некоторых версиях систем его нет (типа Home Edition ), но в большинстве присутствует. Перечислять все нет большого желания, благо наличие таковой поддержки Вы можете сделать за считанные минуты, собственно, попытавшись открыть сей инструмент.

Сия радость зовётся Software Restriction Policies (SPR ), что условно можно перевести как политики ограниченного использования программ (о чем и написано в подзаголовке).

Запустить можно через "Пуск - Выполнить (Win+R ) - secpol.msc " :

Хотите знать и уметь, больше и сами?

Мы предлагаем Вам обучение по направлениям: компьютеры, программы, администрирование, сервера, сети, сайтостроение, SEO и другое. Узнайте подробности сейчас!

Или через Администрирование, которое живет по пути "Пуск - Настройка - Панель управления - Администрирование - Локальная политика безопасности - Политики ограниченного использования программ " . Выглядит следующим образом:

Здесь, для начала, тыкаем правой кнопкой мышки по названию "папки", т.е "Политики ограниченного использования программ " и выбираем пункт "Создать политику ограниченного использования программ " .

Далее необходимо будет определиться с, для начала, первичными настройками и произвести их. Для сего нажмем правой кнопкой мышки на пункте "Применение " и выбираем подпункт "Свойства ". Здесь (см. выше) можно оставить всё по умолчанию, либо включить применение ко всему без исключений (по умолчанию стоит игнорирование DLL ) и, например, переключить пункт применения ограниченной политики ко всем кроме локальных администраторов (при учете, что у Вас аккаунты разграничены на администраторкие и пользовательские).

Далее, предварительно сохранив изменения, жмем правой кнопкой мышки на пункте "Назначенные типы файлов " и снова выбираем подпункт "Свойства ". Здесь можно управлять разрешениями, определяющими понятие исполнительного кода, которые мы в последствии запретим к использованию. Можете настроить на своё усмотрение, в зависимости от целей и задач, которые Вы ставите перед собой, но пока мы оставим всё как есть.

Далее развернем "папку" и перейдем в следующую ветку, т.е в "Уровни безопасности ". Здесь можно управлять уровнями безопасности, в том числе задавать таковые по умолчанию, экспортировать списки и тд и тп.

Простейшим, для теста, решением тут будет задать уровень безопасности "Запрещено " по умолчанию (для чего жмем по нему правой кнопкой мышки и жмем соответствующую кнопку), после чего, когда Вы согласитесь с уведомлением, ограничение будет активировано.

Теперь при запуске программ, если Вы не удалили из списка расширений EXE , Вы будете видеть уведомление как на скриншоте выше. Собственно, можно удалить расширение как таковое, а можно пойти более хитрым путём и, например, удалить только расширение LNK , т.е ярлык.

Тогда, собственно, пользователь сможет запускать только тот софт на который у него есть ярлык на рабочем столе. Способ конечно спорный, но в общем-то вполне себе такой хитрый (даже если пользователь умеет редактировать ярлыки, хотя и это можно ему запретить).

Как Вы понимаете, собственно, глобальные правила на всё в компьютере и манипулирование разрешениями только ярлыками не есть гуд, посему хорошо бы задать какие-то папки, откуда можно запускать приложения из сторонних папок (по умолчанию, в зависимости от системы, разрешения могут быть заданы из системных папок, т.е из Windows и ProgramFiles ).

Для этого переходим на вкладку "Дополнительные правила " и жамкаем правой кнопкой мышки на пустом месте, выбирая пункт "Создать правило для пути " , где задаём путь и разрешение или запрет для пользователя.

Таким же образом, как Вы уже, надеюсь, поняли, регламентируется запрет или разрешения доступа по хешу, зонам сетей или сертификату.

В двух словах, собственно, как-то вот так.

Послесловие

Надеюсь, что кому-то будет полезным и кто-то действительно не знал ничего о политиках, которые, к слову, очень важный инструмент в администрировании любого типа.

Как и всегда, если есть какие-то вопросы, мысли дополнения и всё такое прочее, то добро пожаловать в комментарии к этой записи.

В этом разделе обсуждаются различные опции, которые влияют на поведение политики ограниченного использования программ. Эти опции изменяют область применения политики или параметры доверия Authenticode для файлов с цифровой подписью.

Опции принудительного применения

Существуют две опции принудительного применения политики ограниченного использования программ: проверка библиотек DLL (DLL checking) и предотвращение применения политики к локальным администраторам (Skip Administrators).

Проверка библиотек DLL (DLL checking)

Некоторые программы, как например Internet Explorer, состоят из исполняемого файла (iexplore.exe) и множества вспомогательных библиотек динамической компоновки (DLL). По умолчанию правила политики ограниченного использования программ не применяются к библиотекам DLL. Этот вариант рекомендован для большинства пользователей по трем причинам:

	Запрет исполняемого файла предотвращает выполнение программы, поэтому нет необходимости запрещать все сопутствующие библиотеки DLL.
	Проверка библиотек DLL приводит к снижению производительности. Если пользователь запускает 10 программ во время сеанса работы, политика ограниченного использования программ оценивается 10 раз. Если проверка библиотек DLL включена, политика оценивается при загрузке каждой библиотеки DLL в каждой программе. Если каждая программа использует 20 библиотек DLL, это вызывает 10 проверок исполняемых программ плюс 200 проверок библиотек DLL и таким образом политика ограниченного использования программ оценивается 210 раз.
	Если уровнем безопасности по умолчанию является Не разрешено (Disallowed) , то в этом случае должна проверяться не только возможность выполнения исполняемого файла программы, но и всех ее составляющих библиотек DLL, что может негативно влиять на производительность системы.

Проверка библиотек DLL предоставляется в качестве опции для окружений, в которых необходимо обеспечить максимальный уровень безопасности при выполнении программ. Хотя в основном компьютерные вирусы нацелены на заражение исполняемых файлов, некоторые из них заражают библиотеки DLL. Чтобы убедиться, что программа не заражена вирусом, Вы можете использовать набор правил для хеша который идентифицирует исполняемый файл и все его необходимые библиотеки DLL.

Для включения проверки библиотек DLL:

Рисунок 2 - Установка свойств принудительного режима

Предотвращение применения политики ограниченного использования программ к локальным администраторам (Skip Administrators)

Опции политики ограниченного использования программ позволяют запретить выполнение программ большинством пользователей, но в то же время позволить администраторам выполнять любые программы. Например, клиент может иметь общую машину, к которой пользователи подключаются через сервер терминалов. Администратор может захотеть ограничить пользователей выполнением только определенных приложений на этой машине, но при этом позволить членам группы локальных администраторов запускать любые программы. Чтобы сделать это, используйте опцию предотвращения применения политики к локальным администраторам (Skip Administrators ).

Если политика ограниченного использования программ создана в объекте групповой политики (GPO), присоединенному к объекту Active Directory, то предпочтительный способ для исключения администраторов - это убрать разрешение в свойствах группы GPO, в состав которой входят администраторы.

Чтобы включить предотвращение применения политики к локальным администраторам (Skip Administrators):

Определение исполняемых файлов

В диалоговом окне , изображенном на Рисунке 3, перечислены типы файлов, к которым применяется политика ограниченного использования программ. Назначенные типы файлов – это типы файлов, которые считаются исполняемыми. Например, файл хранителя экрана.SCR считается исполняемым, так как если сделать на нем двойной щелчок мышью в проводнике Windows, он загрузится как программа.

Правила политики ограниченного использования программ применяются только для типов файлов, перечисленных в диалоговом окне Свойства: Назначенные типы файлов (Designated File Types) . Если в Вашем окружении используются типы файлов, для которых Вы хотите иметь возможность задавать правила, добавьте их в этот список. Например, если Вы используете файлы сценариев Perl, Вы можете добавить файлы *.pl и файлы других типов, связанными с модулями Perl, в список Назначенные типы файлов (Designated File Types) .

Рисунок 3 - Диалоговое окно Свойства: Назначенные типы файлов (Designated File Types)

Доверенные издатели

Опции диалогового окна , изображенного на Рисунке 4, позволяют Вам конфигурировать параметры, относящиеся к элементам управления ActiveX® и другому подписанному содержимому.

Рисунок 4 - Настройка параметров Доверенные издатели (Trusted Publishers)

В Таблице 3 перечислены опции диалогового окна Свойства: Доверенные издатели (Trusted Publishers) , относящиеся к элементам управления ActiveX и другому подписанному содержимому.

Таблица 3 - Доверенные издатели (Trusted Publishers) - задачи и параметры
Задача	Необходимое значение параметра
Необходимо разрешить только администраторам домена принимать решения относительно подписанного активного содержимого	Администраторам предприятия (Enterprise Administrators)
Необходимо разрешить только администраторам компьютера принимать решения относительно подписанного активного содержимого	Администраторам локального компьютера (Local computer Administrators)
Необходимо разрешить любому пользователю принимать решения относительно подписанного активного содержимого	Обычным пользователям (End Users)
Необходимо удостовериться, что сертификат, используемый доверенным издателем, не был отозван.	Самого издателя (Publisher)
Удостовериться, что сертификат, используемый организацией, которая проставила дату активного содержимого, не был отозван.	Штамп времени (Timestamp)

Область действия политик ограниченного использования программ

Действие политик ограниченного использования программ не распространяется на:

Проектирование политики ограниченного использования программ

В этом разделе описаны:

Объединение с групповой политикой

Политиками ограниченного использования программ можно управлять с помощью следующих оснасток групповой политики:

Политика домена

Для того, чтобы настроить политику домена

Локальная политика безопасности

Для того, чтобы настроить политику безопасности

Если Вы редактируете объект групповой политики (GPO), Вы можете задать политики ограниченного использования программ для пользователей и компьютеров, как показано на Рисунке 5.

Рисунок 5 - Редактирование политики ограниченного использования программ для пользователей и компьютеров

Если Вы редактируете локальную политику безопасности, расположение параметров политики ограниченного использования программ будет таким, как на Рисунке 6.

Рисунок 6 - Редактирование локальной политики безопасности

Первоначальные действия

При редактировании политики в первый раз Вы увидите сообщение, показанное на Рисунке 7. Это сообщение предупреждает о том, что создание политики установит значения по умолчанию, которые переопределят значения, унаследованные от политик ограниченного использования программ родительских объектов.

Рисунок 7 - Предупреждающее сообщение во время создания новой политики

Для создания политики:

Применение политики ограниченного использования программ к группе пользователей

Политика ограниченного использования программ распространяется через групповую политику на сайт, домен или подразделение. Тем не менее, администратор может столкнуться с необходимостью применить политику ограниченного использования программ к группе пользователей внутри домена. Для этого администратор может использовать фильтрацию объектов групповой политики.

Для получения более подробной информации о фильтрации объектов групповой политики обратитесь к статье Групповая политика Windows 2000 http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (EN)

Серверы терминалов

Политики ограниченного использования программ являются неотъемлемой частью системы защиты сервера терминалов Windows Server 2003. Администраторы серверов терминалов могут теперь полностью заблокировать доступ программного обеспечения к серверу терминалов. Применение политик ограниченного использования программ является исключительно важным именно на серверах терминалов ввиду потенциально большого количества пользователей на одном компьютере. На однопользовательском клиентском компьютере под управлением Windows XP выполнение нестабильного приложения может помешать только одному пользователю, в то время как выполнение такого приложения на сервере терминалов может доставить неудобства более чем 100 пользователям. Политики ограниченного использования программ предотвращают эту проблему. Эта служба также избавляет от необходимости использования программ, таких как appsec.exe, для ограничения выполнения приложений на сервере терминалов Windows Server 2003.

В дополнение к этому корпорация Microsoft рекомендует ознакомиться с документом Как заблокировать сессию сервера терминалов Windows 2000 (How to Lock Down a Windows 2000 Terminal Server Session)

В некоторых случаях на нескольких серверах терминалов установлено одинаковое программное обеспечение, но администраторы этих серверов хотят предоставить доступ разным группам пользователей к разному программному обеспечению. Часть приложений при этом может быть общей для нескольких групп. Рассмотрим пример, когда юридическая фирма размещает приложения на ферме серверов терминалов. На серверах установлено одинаковое программное обеспечение. Правила доступа к программному обеспечению выглядят следующим образом:

	Любой сотрудник может использовать Microsoft Office и Internet Explorer. Все сотрудники являются членами группы AllEmployees .
	Любой сотрудник бухгалтерии может использовать приложения из папки Accounting Software. Сотрудники бухгалтерии являются членами группы AccountingEmployees .
	Любой юрист может использовать приложения из папки Law Research software. Юристы являются членами группы Lawyers .
	Любой сотрудник внутренней почтовой службы может использовать приложения из папки Mail Room Processing software. Сотрудники внутренней почтовой службы являются членами группы MailRoomEmployees .
	Руководители могут использовать любое программное обеспечение, доступное для других сотрудников. Руководители являются членами группы Executives .
	Объекты групповой политики не применяются к администраторам.

Чтобы разграничить доступ к программному обеспечению, администратор создает пять объектов групповой политики с персонально настроенными политиками ограниченного использования программ. Каждый объект групповой политики фильтруется так, чтобы он применялся только к пользователям одной из групп AllEmployees , AccountingEmployees , Lawyers, MailRoomEmployees или Executives (в зависимости от того, для какой группы он предназначен).

Поскольку руководители должны иметь доступ к любому программному обеспечению как на своих рабочих станциях, так и на серверах терминалов, администратор использует функциональную возможность групповой политики – замыкание на себя (Loopback). Установка замыкания на себя позволяет администратору применять к пользователям параметры объекта групповой политики (GPO) компьютера, на который они входят. Если замыкание на себя установлено в режиме замены (Loopback with Replace), параметры конфигурации GPO компьютера применяются к пользователю во время его входа в систему, а параметры конфигурации GPO пользователя игнорируются. Более подробная информация по конфигурированию замыкания на себя содержится в документе по групповой политике.

Объект групповой политики пользователя A1, связан с доменом Law
Фильтр: Для компьютеров домена Law установлено разрешение Применение групповой политики (Apply Group Policy)

Не разрешено (Disallowed)
Правила для пути
%WINDIR%
%PROGRAMFILES%\Common Files	Неограниченный (Unrestricted)
%PROGRAMFILES%\Internet Explorer	Неограниченный (Unrestricted)
%PROGRAMFILES%\Windows NT	Неограниченный (Unrestricted)
%PROGRAMFILES%\Microsoft Office	Неограниченный (Unrestricted)

Объект групповой политики пользователя A5, связан с доменом Lab Resource
Фильтр: Для компьютеров домена Law и пользователей группы Executives установлено разрешение Применение групповой политики (Apply Group Policy)
Установлено замыкание на себя в режиме замены (Enable Loopback in Replace Mode)
Уровень безопасности по умолчанию
Не разрешено (Disallowed)
Правила для пути
%PROGRAMFILES%\Law Research Software	Неограниченный (Unrestricted)
%PROGRAMFILES%\Mail Room Program	Неограниченный (Unrestricted)
%PROGRAMFILES%\Accounting Software	Неограниченный (Unrestricted)

Пошаговое руководство по проектированию политики ограниченного использования программ

В этом разделе описаны шаги, которые необходимо выполнить в процессе проектирования политики ограниченного использования программ.

Вопросы для рассмотрения

При проектировании политики необходимо определиться со следующими аспектами:

Пошаговое выполнение процесса

Шаг 1. Объект групповой политики или локальная политика безопасности

Должна ли политика применяться ко многим компьютерам или пользователям домена или подразделения, или же она должна применяться только к локальному компьютеру?

Шаг 2. Политика пользователя или политика компьютера

Должна ли политика применяться к пользователям независимо от того, на какой компьютер они входят, или наоборот – к компьютеру независимо от того, кто осуществляет вход?

Шаг 3. Уровень безопасности по умолчанию

Известно ли Вам все программное обеспечение, с которым будут работать пользователи, или они могут устанавливать любое программное обеспечение на свой выбор?

Шаг 4. Дополнительные правила

Идентифицируйте выбранные разрешенные или запрещенные приложения, используя четыре типа правил, рассмотренные выше в разделе Архитектура политики ограниченного использования программ .

Шаг 5. Опции политики

Существует несколько опций политики:

	Если Вы используете локальную политику безопасности и не хотите, чтобы она применялась к администраторам на локальном компьютере, включите опцию предотвращения применения политики ограниченного использования программ к локальным администраторам (Skip Administrators ).
	Если Вы хотите проверять библиотеки DLL в дополнение к исполняемым файлам и сценариям, включите опцию проверки библиотек DLL (DLL checking ).
	Если Вы хотите задать правила для типов файлов, которые по умолчанию не входят в список назначенных типов файлов, считающимися исполняемыми, добавьте дополнительные типы файлов .
	Если Вы хотите определить, кто может принимать решения о загрузке управляющих элементов ActiveX и другого подписанного содержимого, установите требуемые опции в окне Свойства: Доверенные издатели (Trusted Publishers) .

Шаг 6. Связывание политики с сайтом, доменом или подразделением

Чтобы связать объект групповой политики с сайтом.

Чтобы связать объект групповой политики с доменом или подразделением.

Фильтрация

На этом этапе может быть осуществлена фильтрация объектов групповой политики. Путем фильтрации, основанной на членстве в группах, Вы можете определить часть организационного подразделения Active Directory (Organizational Unit, OU), на которую будет действовать объект групповой политики. Вы также можете производить фильтрацию на основе запросов инструментария управления Windows (WMI).

Тестирование политики

Если Вы не хотите ждать следующего интервала обновления групповой политики, а хотите протестировать Вашу политику немедленно, запустите программу gpupdate.exe и выполните повторный вход в систему. После этого Вы можете приступать к тестированию Вашей политики.